La gestion ascendante des risques est riche d’enseignements

Nous avons rencontré Jack Tatum, évangéliste mondial de Riskonnect, pour parler quelques minutes du risque stratégique et plus particulièrement de la gestion ascendante des risques. Les organisations de toutes tailles et de tous types sont confrontées à des risques quotidiens qui ne font pas partie de l’éventail des risques « assurables ». e. Depuis de nombreuses années, nous sommes bombardés de gros titres sur les traders malhonnêtes[1], les fusions ratées[2] et les implosions liées à la conversion des devises[3]. Et les gros titres ne cessent de se succéder.

Vous vous souviendrez des articles parus il y a quelques années sur le risque de réputation lié à la catastrophe d’une plate-forme pétrolière[4]. Sans être écoutés, des employés contractuels de longue date se sont plaints du risque d’échec et sont devenus, à contrecœur, des dénonciateurs. « Ce que ces histoires nous apprennent, c’est que la gestion stratégique des risques est pratiquement impossible dans un système descendant », a déclaré M. Jack. On ne peut tout simplement pas attendre de ceux qui se trouvent dans la tour d’ivoire de la direction qu’ils comprennent tous les risques auxquels sont confrontés les « bottes sur le terrain » », a-t-il poursuivi. La gestion stratégique des risques doit avoir une composante ascendante ou, pour citer Molly Hatchet, « Vous flirtez chaque jour avec le désastre »[5].

Une gestion des risques ascendante et stratégique nécessite des outils de collaboration qui n’ont pas toujours existé, mais qui existent désormais. Imaginez ce scénario :

  1. Une technologie est mise en place pour interroger en permanence les personnes les plus proches des lignes de front sur les risques auxquels elles sont confrontées dans le cadre de leur fonction.
  2. Des interfaces simples facilitent la mise à jour rapide des détails de ces risques.
  3. Ensuite, des conversations électroniques sont entamées entre les experts en risques (top-down) et les experts opérationnels (bottom-up) sur des sujets tels que la probabilité, la gravité potentielle et les contrôles/atteintes possibles.
  4. Les propriétaires des risques sont désignés, les plans sont enregistrés et reliés au risque, et le propriétaire et les plans sont programmés pour un exercice et/ou une mise à jour périodique.
  5. Toutes ces activités sont enregistrées et organisées dans des rapports, des tableaux de bord et des cartes thermiques qui sont disponibles en temps réel pour le conseil d’administration.

En ce qui concerne le conseil d’administration, ces risques non assurables peuvent parfois engendrer un risque assurable, car le conseil d’administration est soucieux d’éviter les réclamations des actionnaires au titre de la responsabilité civile des entreprises. [1] https://www.theguardian.com/business/from-the-archive-blog/2015/feb/24/nick-leeson-barings-bank-1995-20-archive
[2] http://fortune.com/2014/05/09/behind-the-failure-of-the-publicis-omnicom-merger/
[3] http://www.ft.com/cms/s/0/21b4f346-3818-11e4-b69d-00144feabdc0.html
[4] https://www.theguardian.com/business/2010/apr/27/bp-whistleblower-atlantis-rig
[5] https://www.youtube.com/watch?v=sFs8G0yOtfc